第1回 プライバシーマーク(Pマーク)制度とJIS Q 15001 ~個人情報保護マネジメントシステム(PMS)改訂に向けて~

■プライバシーマーク(Pマーク)制度の誕生

 1980年代の日本では、欧米の地域に比べて、プライバシーや個人情報の保護に関する法整備が遅れていた状況がありました。OECDではプライバシー保護の8原則が策定されましたが、当時の日本には、現在の個人情報保護法にあたるようなものはなく、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」や「民間部門における個人情報保護のためのガイドライン」を制定し、個人情報保護のための取り組みが開始されました。

 その後、1995年にEU指令が発令され、十分なレベルでの保護措置を講じた国との間でのみ、データ移転を認めるという方針が打ち出されたことにより、日本国内の法整備や、事業者の個人データの保護体制を推進する必要性が高まり、1998年4月1日、「民間部門における個人情報保護のためのガイドライン」をベースとした個人情報保護の仕組みを構築し、審査基準をクリアした事業者に「プライバシーマーク(Pマーク)」を付与するという、プライバシーマーク(Pマーク)制度がスタートしました。

■JIS Q 15001の制定

 プライバシーマーク(Pマーク)制度の開始後、個人情報保護の仕組みを、組織の種類や規模を問わず、全ての組織に適用できるようにするために、日本工業規格(現在は日本産業規格)であるJIS Q 15001の初版が1999年3月20日に制定されました。この規格が発行されたことにより、プライバシーマーク(Pマーク)制度ではJIS Q 15001に基づき、審査が行われることとなりました。その後、JIS Q 15001は、JIS法による見直しを経て、2006年、2017年、2023年の3回改正されています。

図表1 海外及び国内の個人情報保護に関する動向

■JIS Q 15001の概要と特長

 正式名称は、「個人情報保護マネジメントシステム-要求事項」です。個人情報保護マネジメントシステム(PMS)のPDCAを確立するための要求事項と、個人情報を適切に取り扱うための管理策が規定されており、Pマークの認定を取得する組織は、この規格要求事項に従って個人情報保護のための仕組みを構築・運用し、審査を受けることとなります。
この規格の主な特長として、以下のような点が挙げられます。

  • リスクアセスメントを通じて、自社が事業の用に供している個人情報を特定し、その取扱いリスクを把握することができる
  • リスク対応を通じて、個人情報の取扱いに関するぜい弱性に対処することができる
  • 個人情報保護教育を通じて、従業者の個人情報保護意識を高めることができる
  • 内部監査やマネジメントレビューなどの活動を通じてPMSの活動を定期的に評価し、継続的に改善することができる
  • 附属書Aの管理策を実装することにより、個人情報保護法に準拠した、個人情報の管理ができる

■JIS Q 15001:2023改正の背景

 JIS Q 15001は、世の中で生じた様々な事象や、改正個人情報保護法などの影響を受け、これまで3回の改正が行われてきました。2023年版の改正では、以下のような背景があり、管理策に反映されています。

【破産者マップ問題】
 官報で公表されている、自己破産・個人再生者の破産手続きに関する情報(氏名、住所等)を入手し、それらをGoogleマップの機能を用いて公開した事案です。個人情報の入手に関しては適正であるものの、それを差別や悪用につながるような形で、不特定多数の第三者に公開(=提供)したため問題となり、これを防止するために改正個人情報保護法では「不適正な利用の禁止」という条文が追加され、それがJIS Q 15001:2023にも反映されています。

図表2 破産者マップ問題


【大手就職情報サイトのデータ販売問題】
 就活生と求人企業の利用する、大手就職情報サイトの運営事業者が、就活生の内定辞退率を分析し、求人企業に販売していました。内定辞退率の情報には氏名等を含んでいないものの、その他の付帯する情報から、企業側では個人が特定できてしまうという事象が発生しました。この対応として、改正個人情報保護法では「個人関連情報」という定義ができ、個人関連情報を個人情報として受け取る可能性のある第三者に提供する場合の制限が設けられ、それがJIS Q 15001:2023にも反映されています。

図表3 大手就職情報サイトのデータ販売問題


【海外法規制(GDPR)との整合】
 日本に大きな影響を与える、海外のプライバシー規制法であるGDPR(General Data Protection Regulation:一般データ保護規則)との整合を図るため、改正個人情報保護法では、民間企業だけでなく地方公共団体なども含めた形で、「個人情報保護」と「データ流通」の両立に必要なルールを規定することになりました。この影響を受け、JIS Q 15001:2023には、学術研究機関にあたる組織への個人データの提供に関する除外条件などが多く盛り込まれています。


 今回は、基礎的な内容として、プライバシーマーク制度の概要や、JIS Q 15001の特長、JIS Q 15001:2023改正の背景などについてご紹介しました。
 次回のコラムでは、改訂に必要な活動や対応スケジュール、改訂のポイントなどについて解説します。